Начали выкладывать доклады с DEF CON 29

Main Stage Presentations
https://www.youtube.com/playlist?list=PL9fPq3eQfaaBUD1zVxJWJmX86A6d0isBI

Программа тут
https://defcon.org/html/defcon-29/dc-29-schedule.html

Тут @mobile_appsec_world набрал первую тыЩу подписчиков. С чем его и поздравляю.

Если вам интересная тематика безопасности мобильных приложений, тулинга связанного с этим и т.д., то присоединяйтесь, там есть чего почитать на эту тему.

Ведёт его Юрий Шабалин из Swordfish Security, вот один из недавних его постов на Хабре

Развитие механизмов безопасности Android (от версии к версии)
https://habr.com/ru/company/swordfish_security/blog/565092/

Компания Elasticsearch опубликовала выпуск elasticsearch-py 7.14.0, официальной клиентской библиотеки для языка Python, содержащий изменение, блокирующее возможность подключения к серверам, на которых используется не оригинальная коммерческая платформа Elasticsearch. Клиентская библиотека отныне будет выводить ошибку, если на другой стороне используется продукт, представляющийся в заголовке "X-Elastic-Product" не как "Elasticsearch" для новых выпусков, или не передающий поля tagline и build_flavor для старых версий.

Библиотека elasticsearch-py продолжает поставляться под лицензией Apache 2.0, но функциональность её теперь ограничена только возможностью подключения к коммерческим продуктам Elasticsearch. По данным компании Amazon блокировка затрагивает не только форки Open Distro for Elasticsearch и OpenSearch, но и решения на базе открытых версий Elasticsearch. Аналогичные изменения ожидают включения в клиентские библиотеки для JavaScript и Hadoop.

В официальных клиентах Elasticsearch блокирована возможность подключения к форкам
https://www.opennet.ru/opennews/art.shtml?num=55608

Продолжаем прививочный раздел.

В воскресенье ревакцинировался "Спутником Лайт". Перед этим количество антител не замерял.

Из побочек была сонливость вчера. Сегодня можно считать, что почти в норме.

Пишу статью под предварительным названием «AWS – с чего начать». Поделитесь, пожалуйста, в комментариях примерами из своего опыта — что было самым сложным/проблематичным/непонятным, мешающем начать работать с AWS сервисами (и возможно продолжающем мешать).

В общем смысле, это может быть что угодно - от знакомства для собственного мини-проектика до начала работы вашей команды на AWS. Хотелось бы учесть ваш опыт в статье, чтобы было полезно для других.

​Хозяйке стартаперам на заметку: в B2B все происходит ОЧЕНЬ долго.

Многие из вас знают, что мы разрабатываем несколько продуктов - holistic.dev, parsers.dev и dwh.dev

У holistic.dev есть интеграции со всеми основными клауд провайдерами в РФ.

Они сделаны в виде FaaS (function as a service) только по одной причине - облакам некогда заниматься такими интеграциями.

Но ребята из MCS (облако mailru) оказались наиболее легкими на подъем и запилили интеграцию для своих managed баз прямо к себе в админку.

Таймлайн выглядел так:
- 2020 весь год. Я ищу контакты в MCS
- 2020 декабрь. С первого разговора с нужным человеком MCS принимают решение об интеграции
- 2021 февраль. Интеграция готова
- 2021 март. Я узнаю о том, что интеграция готова, мы начинаем общаться о промо материалах
- 2021 апрель. Я рассказываю об интеграции у себя в канале
- 2021 июнь. Мы общаемся о промо материалах.
- 2021 август. Промо выходит в медиа каналах mail.ru (Новость на сайте и в телеге)


Собственно, это была подводка к новости - про нашу интеграцию с MCS объявлено официально, ура! :)

PS: если решите делать B2B стартап, ищите sales-кофаундера сразу....

Ясно почему GitHub лежал недавно. Шорткаты завозили. Нажимаем точку в репе, получаем VS Code.

> New shortcut: Press . on any GitHub repo.

https://twitter.com/github/status/1425505817827151872

Выложили записи с AWS AMER Summit May 2021
https://www.youtube.com/playlist?list=PL2yQDdvlhXf_V5oVkswDdYbAmu1yZil3K

Полный список докладов прицепил в виде pdf

tl;dr In this post, we discuss an insecure coding pattern commonly used in system observability and program analysis tools, and several techniques that can enable one to evade observation from such tools using that pattern, especially when they are being used for security event analysis. We also discuss several ways in which such software can be written that do not enable such evasion, and the current limitations that make it more difficult than necessary to write such code correctly.

Some Musings on Common (eBPF) Linux Tracing Bugs
https://research.nccgroup.com/2021/08/06/some-musings-on-common-ebpf-linux-tracing-bugs/

Уже некоторое время орудуют мошенники, «продающие» «Флиппер» за копейки и под другим названием.

Один из наших бэкеров решил ради интереса заказать этот фейк. Продавец правда что-то отправил, а посылка уже дошла!

Распаковка: https://www.youtube.com/watch?v=OzkvEWqMNY8

Не покупайте фейковые Флипперы.

Это уже не новость, но кажется ещё не все в курсе. Поэтому решила-таки об этом написать.

Zoom должен будет заплатить штраф в размере $85 миллионов в ответ на коллективный иск на основании того что Zoom публично соврали по поводу использования сквозного шифрования. На деле его там нет, кроме версий, которые хостятся на серверах пользователей. По умолчанию сервера Zoom, включая и те которые расположены в Китае, хранят ключи шифрования позволяющие Zoom иметь доступ к содержанию ваших звонков. Пруф об этом на английском и с подробностями:

https://arstechnica.com/tech-policy/2021/08/zoom-to-pay-85m-for-lying-about-encryption-and-sending-data-to-facebook-and-google/

Поэтому призываю всех — используйте надёжные альтернативы. Например, big blue button.

The record of a recent stream with CNCF Ambassador, Saiyam Pathak, dedicated to Deckhouse Platform is available for watching on YouTube. The subjects covered include the motivation behind Deckhouse, how and why this project was created, what is the platform, how it works, and what it brings to the Kubernetes users, and a short demonstration of Grafana dashboards in Deckhouse. Enjoy!

How to provision 100 AWS Graviton GitLab Spot Runners in 10 Minutes for $2/hour
https://about.gitlab.com/blog/2021/08/17/100-runners-in-less-than-10mins-and-less-than-10-clicks/

Я тут по определённым и независящим от меня обстоятельствам выпал из размеренного образа жизни. Надеюсь, что скоро вернусь в обычный ритм, так что не теряйте меня и не теряйтесь 🤝

А пока обещанная четвёртая часть по проекту Meshtastic. Радиочат, который работает без сотой связи и интернета.

Meshtastic — оперативно-тактический радиочат без сотовой связи и интернета. Часть 4. Прошивка модема, выход в сеть
https://habr.com/ru/post/569788/

У проекта есть несколько чатов в телеге, так что если интересно вливайтесь в камунити
• Общероссийская телеграмм-группа: t.me/meshtastic_russia
• Телеграмм-группа г.Санкт-Петербург: t.me/meshtastic_spb
• Телеграмм-группа г.Краснодар: t.me/meshtastic_krd
• Телеграмм-группа г. Екатеринбург: t.me/Meshtastic_EKB
• Телеграмм-группа г. Новосибирск: t.me/meshtastic_nsk

Завтра буду на ZeroNights https://zeronights.ru/, пока не ясно в какое время конкретно.

Если есть желание пересечься, то пишите в комменты или в личку.

Билеты можно, если что, купить на месте, но будут +10% к цене.

Получил своего Флиппера, так сказатб 🌝

@zhovner_hub и @theyforcedme с командой рассказывали и показывали

https://twitter.com/a13xp0p0v/status/1430845177242046464

Александр Попов продолжает пилить годноту

Статья
https://a13xp0p0v.github.io/2021/08/25/lkrg-bypass.html

Слайды
https://a13xp0p0v.github.io/img/CVE-2021-26708_LKRG_bypass.pdf

Демо
https://www.youtube.com/watch?v=O6rsuGVXkmE

Он так же соавтор канала Linux Kernel Security - @linkersec